Enklawy SGX
Technologia Intel SGX umożliwia klientom tworzenie enklaw, które chronią dane, i przechowywanie danych zaszyfrowanych podczas przetwarzania danych przez procesor CPU.
Enklawy są zabezpieczone części procesora i pamięci sprzętu. Nie można wyświetlać danych ani kodu wewnątrz enklawy, nawet w przypadku debugera. Jeśli niezaufany kod próbuje zmienić zawartość w pamięci enklawy, SGX wyłącza środowisko i odrzuca operacje. Te unikatowe możliwości ułatwiają ochronę wpisów tajnych przed dostępnością w sposób jasny.
Pomyśl o enklawie jako zabezpieczonej skrytce. Kod i dane są umieszczane w polu blokady. Z zewnątrz nic nie widać. Enklawa nadaje kluczowi do odszyfrowywania danych. Enklawa przetwarza i ponownie szyfruje dane przed wysłaniem danych z powrotem.
Poufne przetwarzanie na platformie Azure oferuje maszyny wirtualne serii DCsv2 i DCsv3/DCdsv3 . Te maszyny wirtualne obsługują rozszerzenia Intel® Software Guard (SGX).
Każda enklawa ma zaszyfrowaną pamięć podręczną strony (EPC) o ustawionym rozmiarze. EPC określa ilość pamięci, którą może pomieścić enklawa. Seria DCsv2 Maszyny wirtualne przechowują do 168 miB. Seria DCsv3/DCdsv3 Maszyny wirtualne przechowują do 256 GB w przypadku większych obciążeń intensywnie korzystających z pamięci.
Opracowywanie enklaw
Do tworzenia aplikacji uruchamianych w enklawie można użyć różnych narzędzi programowych. Te narzędzia ułatwiają osłonę fragmentów kodu i danych wewnątrz enklawy. Upewnij się, że nikt spoza zaufanego środowiska nie może wyświetlać ani modyfikować danych za pomocą tych narzędzi.